萬用字元憑證的一般名稱 (CN)
想要保護相同網域名稱內的多個子網域的安全時,將萬用字元 SSL 憑證視為選項。這些憑證使用網域名稱欄位中的萬用字元 (*),保護連接到相同的基礎網域的多個子網域 (主機) 的安全。
Note
The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com
例如,發行到 *.domain.com 的標準萬用字元憑證將保護 www.domain.com、mail.domain.com、 info.domain.com 等的安全,但不會保護 mail.test.com 的安全。
Note
主體別名 (SAN) 必須是萬用字元網域 (例如 *.yourdomain.com),或以您已列出的萬用字元網域為基礎。例如,如果您的其中一個萬用網域為 *.example.com,則您可以使用 www.example.com,但不可以使用 mail.secure.com。保護兩個網域安全的 Secure Site Pro SSL 憑證是例外情況。
安裝在基於 CN 的網頁伺服器上的憑證
根據預設值,要求的憑證預定為安裝在所有相符的網域中。但對於每個 DigiCert 支援的網頁伺服器而言,有規定憑證只能安裝在合格的網域上的規則。
Nginx
當自動化要求到達時,伺服器會尋找基於要求中使用的 CN 或 SAN 的符合伺服器區塊。
Nginx 比較 server_name 與要求中的 CN 或 SAN。
如果在伺服器區塊集中找到符合的 server_name,則會保護符合的所有伺服器區塊的安全。
例如:
server {
server_name 8010.abc-example.com *.abc-example.com;
listen 123.123.123.123:8010 ;
}
server {
server_name 8020.abc-example.com *.mail.abc-example.com ;
listen 123.123.123.123:8020 ;
}
server {
server_name 8030.abc-example.com *.abc-example.com ;
listen 123.123.123.123:8030 ;
}在上述範例中,當您要求自動化:
CN=*.abc-example.com – 保護連接埠 8010 和 8030 伺服器區塊的安全。
CN=*.mail.abc-example.com – 僅保護連接埠 8020 伺服器區塊的安全。
CN={8010/8020/8030}.abc-example.com – 僅保護各伺服器區塊的安全。
CN=*.abc-example.com 和 SAN=*.mail.abc-example.com – 保護所有伺服器區塊的安全。
Apache
當自動化要求到達時,伺服器會尋找基於要求中使用的基於 CN 或 SAN 的符合 <VirtualHost> 區塊。
Apachex 比較 ServerName 和 ServerAlias 與要求中的 CN 或 SAN。
如果在伺服器區塊集中找到符合的 ServerName 或 ServerAlias,則會保護符合的所有虛擬主機區塊的安全。
例如:
Listen 551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
在上述範例中,當您要求自動化:
CN=*.abc-example.com – 保護連接埠 552 和 553 虛擬主機區塊的安全。
CN=*.mail.abc-example.com – 僅保護連接埠 551 虛擬主機區塊的安全。
CN={551/552/553}.abc-example.com – 僅保護各虛擬主機區塊的安全。
CN=*.abc-example.com 和 SAN=*.mail.abc-example.com – 保護所有虛擬主機區塊的安全。
IIS
IIS 伺服器不會在自動化要求中尋求符合的 CN 或 SAN。憑證將僅安裝在要求的 IP 位址和連接埠上。
例如:
IP/Port: 123.123.123.123: 401 Common name: *.example.com IP/Port: 125.125.125.125: 402 Common name: *.abc.example.com SANs: *.mail.example.com IP/Port: 127.127.127.127: 403 Common name: *secure.example.com SANs: *.example.com
在上述範例中,當您要求自動化:
IP/連接埠=123.123.123.123:401,CN=*.example.com – 僅保護 123.123.123.123 的安全:401 IP 位址和連接埠。
IP/連接埠=125.125.125.125:402,CN=*.example.com,SAN=*.mail.example.com – 僅保護 125.125.125.125 的安全:402 IP 位址和連接埠。
IP/連接埠=127.127.127.127:403,CN=*secure.example.com,SAN=*.example.com – 僅保護 127.127.127.127 的安全:403 IP 位址和連接埠。
Tomcat
當自動化要求到達時,伺服器會尋找在要求使用的基於 CN 和/或 SAN 的符合 <Connector> 區塊。
Tomcat 比較 SSLHostConfig hostName 與要求中的 CN 和/或 SAN。
如果在伺服器區塊集中找到符合的 SSLHostConfig Hostname,則會保護符合的所有區塊的安全。
例如:
http to https Automation
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.abc.example.com"> </SSLHostConfig>
</Connector>
<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>
<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.secure.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.login.example.com"> </SSLHostConfig>
</Connector>在上述範例中,當您要求自動化:
<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com"
SSLEnabled="true">
<SSLHostConfig hostName="*.avp.cert-testing.com">
<Certificate
certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem"
certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem"
type="RSA"/>
</SSLHostConfig>
</Connector>In the above examples, when you request automation for:
CN=*.abc.example.com – 僅保護連接埠 182 連接器區塊的安全。
CN=*.example.com – 僅保護連接埠 183 連接器區塊的安全。
CN=*example.com – 保護所有連接器區塊的安全。
Cn=*.secure.example.com 和 SAN=*.secure.example.com、*.blog.example.com、abc.example.com、*.login.example.com – 僅保護連接埠 184 連接器區塊的安全。
Note
若要成功自動化,連接器中的所有 SSLHostConfig 區塊都必須安裝憑證。
CN=*.example.com 和 SAN=*.mail.test.com
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.test.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>IBM
當自動化要求到達時,伺服器會尋找在要求中使用的基於 CN 或 SAN 的符合 <VirtualHost> 區塊。
IBM 伺服器比較 ServerName 和 ServerAlias 與要求中的 CN 或 SAN。
如果在伺服器區塊集中找到符合的 ServerName 或 ServerAlias,則會保護符合的所有虛擬主機區塊的安全。
例如:
Listen 125.125.125.125:551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 125.125.125.125:552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 125.125.125.125:553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
在上述範例中,當您要求自動化:
CN=*.abc-example.com – 保護連接埠 552 和 553 虛擬主機區塊的安全。
CN=*.mail.abc-example.com – 僅保護連接埠 551 虛擬主機區塊的安全。
CN={551/552/553}.abc-example.com – 僅保護各虛擬主機區塊的安全。
CN=*.abc-example.com 和 SAN=*.mail.abc-example.com – 保護所有虛擬主機區塊的安全。
CN=551.abc-example.com 和 SAN=securemail.abc.com – 僅保護連接埠 551 和 553 虛擬主機區塊的安全。